Er is een kritieke kwetsbaarheid ontdekt in Git GUI met het CVE-ID CVE-2025-46334. Deze kwetsbaarheid maakt het mogelijk voor kwaadwillende actoren om schadelijke opdrachten in te voeren op Windows-systemen. Dit komt door een probleem met het pad voor uitvoerbare bestanden in de Git GUI, wat kan leiden tot volledige systeemovername.
Door de improper neutralization van speciale elementen gebruikt in besturingssysteemopdrachten (CWE-78), kunnen kwaadaardige repositories versies van sh.exe of tekstconversieprogramma’s zoals astextplain leveren. Deze kwetsbaarheid is hoog, met een CVSS-score van 8.6, en moet serieus genomen worden.
Overzicht
De kwetsbaarheid wordt veroorzaakt door de manier waarop Tcl op Windows werkt. Wanneer een gebruiker "Git Bash" of "Browse Files" vanuit het menu selecteert, wordt het huidige pad doorzocht, waardoor kwaadwillende actoren kwaadaardige scripts kunnen uitvoeren. Deze kwetsbaarheid is gerepareerd in de volgende versies: 2.43.7, 2.44.4, 2.45.4, 2.46.4, 2.47.3, 2.48.2, 2.49.1, en 2.50.1.
Aanbevelingen
- Update uw Git GUI naar de nieuwste versie die niet getroffen is door deze kwetsbaarheid. Controleer of uw versie hoger is dan of gelijk aan 2.50.1.
- Vermijd het uitvoeren van onbekende repositories of software van onbetrouwbare bronnen.
